Les chercheurs de Proofpoint ont identifié une campagne inhabituelle diffusant un logiciel malveillant que l'acteur de la menace a baptisé "Voldemort". L'activité se fait passer pour les finances publiques françaises en France. L'objectif final de la campagne est inconnu, peut-être l'espionnage, mais Voldemort dispose de capacités de collecte de renseignements et de livraison de charges utiles supplémentaires. Les chercheurs en cybersécurité de Proofpoint viennent de publier une nouvelle recherche sur un malware inédit surnommé "Voldemort" par l'acteur de la menace. En France, l’acteur de la menace se fait notamment passer pour la Direction Générale des Finances Publiques dont l'objectif est de collecter des renseignements auprès des organismes d’assurances.
L'activité malveillante, qui a été observée pour la première fois au début du mois d'août 2024, comprenait plus de 20 000 messages ayant un impact sur plus de 70 organisations dans le monde, en utilisant une chaîne d'attaque qui comprend plusieurs méthodes de commande et de contrôle (C2) actuellement populaires et peu courantes, comme l'utilisation de Google Sheets.
Les principales conclusions de l'étude sont les suivantes :
- L'activité a usurpé l'identité d'autorités fiscales de gouvernements d'Europe, d'Asie et des États-Unis (notamment HMRC et IRS).
- Le logiciel malveillant est soupçonné d'être utilisé à des fins d'espionnage, en raison de ses capacités de collecte de renseignements et de sa capacité à fournir des charges utiles supplémentaires, plutôt que pour réaliser des gains financiers. Proofpoint estime avec une confiance modérée qu'il s'agit d'un acteur APT.
- La chaîne d'attaque de Voldemort présente des fonctionnalités inhabituelles et personnalisées, notamment l'utilisation de Google Sheets pour le C2 et l'utilisation d'un fichier de recherche sauvegardé sur un partage externe.
- L'acteur de la menace a ciblé 18 secteurs verticaux différents, mais près d'un quart des organisations ciblées étaient des compagnies d'assurance.
- Les techniques utilisées dans cette campagne sont observées plus fréquemment dans le paysage cybercriminel, démontrant que les acteurs engagés dans des activités d'espionnage présumé utilisent souvent les mêmes tactiques, techniques et procédures que les acteurs de la menace motivés par des raisons financières.
Source : Proofpoint
Et vous ?
Pensez-vous que cette étude est crédible ou pertinente ? Quel est votre avis sur le sujet ?Voir aussi :
Les marques les plus usurpées dans les attaques de phishing : Microsoft, Adobe, DHL, et Google, afin d'obtenir vos identifiants de connexion ou vos informations de paiement, d'après Proofpoint Plus de 70 % des consommateurs craignent d'être dupés par un deepfake et de voir l'IA et les deepfakes influencer les prochaines élections dans leur pays, selon une étude de Jumio Les fichiers PDF chiffrés constituent la dernière astuce des pirates informatiques pour vous transmettre des logiciels malveillants, qui exfiltrent ensuite vos informations personnelles